琉球新報朝刊 世界最大級の旅行予約サイト「ブッキング・ドットコム」が提携先の宿泊施設に提供しているシステムに何者かが不正アクセスし、宿泊施設を装ったメールを予約客に送り、クレジットカード情報を狙う手口の被害が昨年6月以降、国内で相次いでいることが13日、分かった。少なくとも21都道府県の宿泊施設118カ所が被害を公表。ブッキング・ドットコム運営会社(オランダ)の日本法人によると、同様の被害は世界規模で発生している。
沖縄県内のリゾートホテルにも昨年9月ごろ、「ブッキング・ドットコムから追加の支払いを求めるメールが届いた」といった利用客からの問い合わせや相談が数十件あったという。
同ホテルによると、被害は確認していないが、1件は「クレジットカードの情報を入力してしまった」との相談だった。すぐにカード会社で番号変更の手続きをするよう助言したという。
現在、そうした問い合わせはないというが、オンライン決済の際、利用客にフィッシング詐欺への注意をメールで喚起。カード情報の入力をしないよう呼びかけている。
観光庁は日本法人に被害の調査を指示。新型コロナウイルスによる渡航制限が世界的に緩和され、被害が広がったとみられる。
日本法人などによると、確認された不正アクセスの手口は、まず宿泊施設に何者かが旅行者を装い偽のメールを送信する。宿泊施設側がメールに記載のリンクからダウンロードしたファイルを開くと、パソコンがマルウエア(悪意のあるソフト)に感染。宿泊施設がブッキング・ドットコムのシステムを利用するのに必要なIDやパスワードが盗まれる。
何者かはこれを悪用してシステムに侵入し、宿泊施設を装って予約客に「事前決済しなければ予約がキャンセルになる」などとうそのメールを送信。偽のサイトに誘導してカード情報を入力させる。「フィッシング」と呼ばれる手口だ。
ブッキング・ドットコムの日本法人は被害の規模や金額を明らかにしていない。同様の被害は2022年に欧州の一部で確認されて以降、米国、アジア、オセアニアの一部に拡大したという。
ブッキング・ドットコムは「ご心配をおかけしている。予約客にメールやチャット機能でカード情報の入力や支払いを求めることはない」としている。
